AWS Secrets Manager レプリケーションの防止 - AWS Secrets Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Secrets Manager レプリケーションの防止

シークレットは ReplicateSecretToRegionsを使用してレプリケートすることもCreateSecret、 を使用して作成されたときにレプリケートすることもできます。ユーザーがシークレットをレプリケートできないようにする場合は、 AddReplicaRegionsパラメータを含むアクションを禁止することをお勧めします。アクセス許可ポリシーで Conditionステートメントを使用して、レプリカリージョンを追加しないアクションのみを許可できます。使用できる条件ステートメントについては、次のポリシー例を参照してください。

例 レプリケーション許可の禁止

次のポリシー例は、レプリカリージョンを追加しないすべてのアクションを許可する方法を示しています。これにより、ユーザーは ReplicateSecretToRegionsと の両方を通じてシークレットをレプリケートできなくなりますCreateSecret

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
例 特定のリージョンにのみレプリケーション許可を付与する

次のポリシーは、次のすべてを許可する方法を示しています。

  • レプリケーションなしでシークレットを作成する

  • 米国およびカナダのリージョンのみにレプリケーションするシークレットを作成する

  • シークレットを米国およびカナダのリージョンにのみレプリケートする 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}